DotW: Wie man eine Palo Alto Networks Firewall über Clearpass und RADIUS authentifizieren
Resolution
Dieses Dokument wurde aus Inhalten erstellt , die bei jedem, der das Aruba clearpass-Gerät verwendet, zur Identifizierung von Benutzer-und Maschinennamen-Informationen? in der Palo Alto Networks Live-Community-Diskussionsforum.
Dies wurde von einem Aruba Airheads-Forum, genommen von denen ich Mitglied bin. Es war ursprünglich geschrieben von Mike Courtney bei Adaptive Kommunikation.
Dieses How-to konfiguriert RADIUS-Authentifizierung auf einem Palo Alto Networks-Gerät mit PAN-OS 5.x / 6.0 und integrieren, die mit Clearpass. Palo Alto Networks Gerät wird konfiguriert werden, um einen RADIUS VSA von Clearpass erhalten und Superuser-Zugriff für ein AD-spezifische Benutzer.
Wie zuvor, ich habe eine Clearpass-Labor 6.2.x. Ich habe einen Windows 2012 Server mit definierten Benutzer und Gruppen, und ich habe die notwendige Rolle Zuordnungen unter Konfiguration gebaut > Identität > Rolle Zuordnungen in Clearpass. Ich habe auch Clearpass / Tipps Rollen, die meine Windows 2012 Gruppen zugeordnet sind.
Einrichtung auf Clearpass
Palo Alto Networks Wörterbuch im Clearpass aktivieren
1. Verwaltung > WörterBücher > RADIUS
2. Filter > Hersteller Name > enthält > Palo
3. Klicken Sie auf paloalto, dann klicken Sie auf aktivieren
- Konfiguration > Netzwerk > Geräte
- Wählen Sie Geräte
- Name =<Name you'd="" like=""></Name>
- RADIUS gemeinsamer geheimer Schlüssel =<Your shared="" secret=""></Your>
- Name des Kreditors = PaloAlto
- Select Save
Erstellen einer Gerätegruppe (optional)
Es ist ratsam, aber nicht verpflichtet, Gerätegruppen in Clearpass verwenden. Dieser Schritt ist optional, nur eine Präferenz.
1. Konfiguration > Netzwerk > Gerätegruppen
2. Wählen Sie die Gerätegruppe 3 Hinzufügen
. Füllen Sie das namens Feld aus. Wir werden Palo Altos in diesem Beispiel
4 verwenden. Wählen Sie die Liste unter Format
5. Unter der Listebewegen Sie das Palo Alto-Gerät von den verfügBaren Geräten auf ausgewählte Geräte
6. Klick speichern
- Konfiguration > Durchsetzung > Profile
- Klicken Sie auf Durchsetzungs Profil hinzufügen
- Wählen Sie RADIUS-basierte Durchsetzung als Vorlage
- Geben Sie einen Namen, Palo Alto RADIUS admin
- Vergewissern Sie sich, dass die Annahme in Aktion gesetzt wird
- Unter Eigenschaften:
- Typ - Radius: PaloAlto
- Name - Dok2-Admin-Rolle (1)
- Wert - Superuser
- Klick speichern
Palo Alto Networks Enforcement Richtlinie erstellen
1. Konfiguration > DurchSetzung > RichtLinien
2. Klicken Sie auf Durchsetzungs Politik
3. Unter Vollstreckung, geben Sie einen Namen, Palo Alto Login Durchsetzungs Politik
4. ÜberPrüfen Sie, ob der RADIUS der Durchsetzungs Typ
5 ist. Wählen Sie das Zugriffs Profil für das Standardprofil
6. Wählen Sie Regeln und klicken Sie auf Regel
7 hinzufügen. Meins sieht aus wie folgt:
- Typ - Tipps
- Name - Rolle
- Operator - gleich
- Dok2-Admins
- Vollstreckungs profile > ProfilNamen > [RADIUS] Palo Alto RADIUS admin
- Klick speichern
Erstellen Sie einen Palo Alto Networks Login Service
1. Konfiguration > Dienstleistungen
2. Klicken Sie auf Service
3. Wählen Sie die Art der RADIUS-durch Setzung (Generic)
4. Geben Sie einen Namen für den Dienst, Palo Alto Firewall Logins
5. Unter Service-RegelGeben Sie
- Typ - Verbindung
- Name - NAD-IP-Adresse
- Bediener - BELONGS_TO_GROUP
- Wert - Palo Altos
6. Unter Authentifizierung:
- Authentifizierungsmethoden - PAP
- Authentifizierungsquellen-<your ad=""></your>
7. Wählen Sie unter Rollen die Rollen Mapping-Richtlinien für Ihre Domain aus. Hier ist, wie meine sieht, indem Sie ändern
- Typ - Genehmigung: Windows-2012
- Name - memberOf
- Operator - gleich
- Wert - CN = PaloAlto-Admins, CN = Users, DC = oben, DC = local
- Aktionen > Rollenname > PaloAlto-Admins
8. Unter Vollstreckung > Durchsetzungs Politik, Wählen Sie die Durchsetzungs Politik, die wir erstellt haben > Palo Alto Login-Durchsetzungs Politik
9. Klick speichern
10. Klick aktivieren
Palo Alto Networks Gerät konfigurieren
Führen Sie die folgenden Schritte über die grafische Benutzeroberfläche.
1. Gehen Sie zum Gerät > Server Profile > RADIUS > + Add
- Name = Clearpass
- Klicken Sie auf + Add in dieses Menü:
- Name = FQDN des Servers Clearpass
- Protokoll = PAP
- IP-Adresse =<Clearpass ip="" address=""></Clearpass>
- Secret = Shared Secret für Palo Alto Networks Gerät in Clearpass
- Port = 1812 klicken Sie in diesem Menü auf OK
2. Gehen Sie zum Gerät > Authentifizierungs Profil > + Add
- Name = PAN-Clearpass
- Authentifizierung = RADIUS
- Server Profile = clearpass (ab Schritt 1)
3. Gehen Sie zum Gerät > Authentifizierungs Sequenz > + Add
- Name = PAN-Auth-Sequence
- Klick + Add
- Pan-clearpass wählen (ab Schritt 2)
Überprüfung der RADIUS-Authentifizierung
Diese zusätzliche Einrichtung auf einem Palo Alto Networks-Gerät mit mehreren Authentifizierungsprofile und RADIUS-Servern sein erforderlich. Es sollte als Teil einbezogen der Schritte zur RADIUS-Authentifizierung auf einem Palo Alto Networks Gerät garantieren.
1. Gerät zur > Setup > Verwaltungseinstellungen > Authentifizierungseinstellungen
- Klicken Sie auf die Schaltfläche "Widget" in der Ecke
- Pan-clearpass unter Authentifizierungs Profil auswählen
- Speichern Sie diese Konfiguration
Sie sollten nun in die GUI und die CLI auf einem Palo Alto Networks-Gerät mit Clearpass einloggen können. Sie können dies auf der CLI durch Eingabe überprüfen:
anzeigen Admins
Auch die AD-Konto zeigt sich vor dem @-Symbol auf eine erfolgreiche CLI-Verbindung:
mcourtney @ PA-200 >
Dies zeigt sich in der GUI unter:
Dashboard > Admins angemeldet
Sie können überprüfen, ob die Dinge funktionieren, indem Sie sich in ein Palo Alto Networks-Gerät einloggen und die Ergebnisse in Access Tracker sehen, die unter
Monitoring > Live Monitoring
Finden Sie diesen Artikel hilfreich? Daumen hoch? Fühlen Sie bitte sich frei, um eine Frage oder einen Kommentar hinterlassen.